范桂红

【摘要】处在大数据时代，我们的个人信息遭受的安全威胁如影相随，个人信息被储存、再次开发利用或泄露等，民众的隐私权面临着巨大挑战。鉴于我国法律对隐私权保护存在着缺陷与不足，今后我们应加强个人信息保护的法治建设，构建全方位多层级的隐私权保护法律制度体系；尽快出台《民法典》，明确并完善对隐私权的立法保护；制定《网络隐私权保护法》，加强对数据隐私的保护。

【关键词】大数据时代；隐私权；法律保护

一、问题的提出——大数据时代“裸奔”的隐私

伴随着互联网、物联网的大量应用，一个数据大爆炸、大增长的大数据时代已经悄然而至，这是一个既富于无穷创造力同时又充斥着巨大破坏力的时代，在给我们的生活带来便利的同时，也带来意想不到的威胁。美国学者理查德在《世纪道德：信息的技术的伦理方面》一书中曾大声疾呼，我们“社会中每个人所拥有的个人隐私正在消失”“我们正生活在一个透明的社会里”。[1]在这个透明的社会里，我们的个人隐私权遭受的安全威胁如影相随。

二、大数据时代个人隐私权面临的挑战

传统的隐私权仅作为一种消极被动的“不受别人干扰的人格权”，但在大数据时代，这种隐私权的内涵已延伸扩大，具体是指自然人依法享有的私人生活安宁与私人网络信息，不被他人非法侵扰、收集利用和知悉公开的、兼具财产权属性的人格权，此权利包括个人网络信息的知情权、支配权、安全权和索赔权。[2]目前，个人隐私权遭遇的挑战主要有三：

（一）个人信息被收集储存并分析而本人并不知晓，隐私权面临威胁

通常情况下，我们这些散落在各个角落的个人信息一般不会被人注意，但在大数据时代，这些信息有可能被搜集起来，并通过大数据系统整理分析，进而得出一些暴露个人隐私的结论。比如，在手机、笔记本和平板电脑等移动终端设备中，制造商事先设置好大数据的存储整理系统，然后通过分析使用者的行为轨迹，进而系统分析出移动终端设备使用者的行为爱好、职业生活习惯，并把分析结论数据传输给相关的企业或行业，为他们发现目标客户提供帮助。而所有这些都是后台操作，移动终端设备的使用者和信息涉及的个人却并不知晓。更令人担忧的是，如果政府以“国家安全”或公共利益的名义，对个人数据信息通过“立法”等合法途径进行随时监控，就像众所周知的“棱镜门”所揭示的那样，公民的通话及通信记录等个人隐私就在本人不知道和不经意间已被政府所掌握。[3]

（二）个人信息未经本人允许被再次开发利用，隐私权面临挑战

个人信息的被再次开发利用是指网络服务提供者对已搜集到的个人信息通过数据分析整理，进一步挖掘出更深层次的数据，用作商业或其他目的。大数据的价值不只是它最早的基本用途，更多的是被二次利用，许多数据在收集时无意他用，但结果却产生了很多意想不到的创新性用途。比如，网上运营商根据你网上分享的照片、视频等就知道向你推荐什么样的资源和广告；根据你拿着iPhone满世界跑的信息就可以构建地图和交通信息，而这一切却未经本人允许。通过海量的二次数据的收集、整理和分析，我们的个人信息及行为都有可能被大数据所掌握，并可能会成为他人或网络服务提供者营利的工具或控制我们的手段。而现有的隐私保护技术是建立在静态数据基础之上的，面对时刻都在发生着变化的数据模式和数据内容，既有的隐私保护制度形同虚设。特别是面对巨大的利益诱惑，进一步收集、存储、分析和循环利用个人数据的动力会更加被激发，而个人数据的二次利用乃至循环利用会给个人隐私带来极大威胁，使我们的隐私无处藏身。[4]

（三）个人信息被严重泄露，经济遭受损失，隐私权受到侵害

目前个人信息泄露严重，《2015中国网民权益保护调查报告》结果显示：70%左右的网民个人网上活动信息和个人身份信息均遭到泄露。其中78.2%网民的姓名、身份证号、学历、工作单位及家庭住址等个人身份信息被泄露；63.4%网民的通话记录、网购记录、网站浏览痕迹、IP地址及地理位置等个人网上活动信息被泄露；近半数网民的即时通信记录、手机短信等个人通信信息被泄露。调查的82.3%的网民感受到因个人信息泄露对日常生活造成的影响：一是垃圾信息骚扰，二是非法诈骗猖獗，三是造成的损失难以挽回。据统计，近一年我国网民因个人信息泄露、诈骗信息和垃圾信息遭受的经济损失人均124元，按网民6.49亿数量计算，总计损失约805亿元，其中，约有4500万网民经济损失在1000元以上。[5]

三、我国法律对公民隐私权保护的缺失

（一）立法对隐私权缺少直接全方位的保护

首先，未明确隐私权的概念。我国法学界对隐私权至今没有明确统一的界定，隐私权作为人格权尽管已获得普遍认同，但《民法通则》并没有明确规定，而是从属于名誉权。在大数据时代，对传统隐私权包括延伸到网络领域的隐私权，应准确定位，否则将直接影响立法对隐私权的保护。其次，隐私权立法缺乏系统性。在立法方面，我国隐私权主要采取间接、分散的方式规定于宪法和部门法中，没有专门的立法，不仅分布零散且数量有限。这种现状远不能适应大数据时代对隐私权保护的要求。再次，网络隐私权立法层级不高且操作性不强。目前，涉及我国互联网隐私的法律只有全国人大常委会的两个《决定》，其他都是国务院的法规，这些法律法规和规章不仅效力层级不高、操作性不强，而且相互之间缺乏衔接，效力也较弱。[6]所以，尽管严重的个人信息泄露事件频发，侵犯隐私权的事件也时有发生，但极少有责任追究或惩罚，隐私权的保护举步维艰。

（二）《民法通则》未将隐私权的保护在立法上明确

首先，《民法通则》未明确规定公民的隐私权。我国立法中的“隐私权”从属于名誉权，司法实践中，对侵害他人隐私权的案件只能以通过追究名誉侵权行为加以保护。现行最高法院关于贯彻执行《民法通则》的司法解释规定：宣扬他人隐私或公开丑化他人人格的、侵犯隐私权的行为，应认定为侵害公民名誉权。实际上，尽管隐私权与名誉权在某种程度上可能出现重合，但二者完全是两种不同的权利，不能混同。其次，司法解释未明确列举具体“侵害隐私权”的行为。最高法院的司法解释试图在一定程度上弥补“隐私权”法律规定的漏洞，但其局限性相当明显，因为它并未列举“侵害他人隐私权”的行为。而且，司法解释毕竟不是实体法，仅在司法解释中规定公民的隐私权，而民法却无相应规定，必然会降低隐私权保护的重要性。再次，《民法通则》对隐私权的保护操作性不强。尽管最高法院在贯彻执行《民法通则》的司法解释中对公民的隐私权进行了规定，但未明确侵害隐私权的构成要件和归责原则，所以，《民法通则》及其司法解释对隐私权的保护只停留在原则性规定上，不能有效保护公民的隐私权。

（三）网络隐私权保护存在着严重缺陷与不足

首先，未明确网络隐私权的概念。尽管我国已立法保护网络隐私权，比如2012年颁布实施的《关于加强网络信息保护的决定》，但至今没有任何一部法律、法规或规章明确规定网络隐私权的概念和范围、侵权行为方式和种类以及侵权责任的归责原则，这不利于对网络隐私权的保护。其次，网络隐私权保护领域有限。现有立法对网络隐私权的保护领域比较狭窄，仅限于网上活动信息、个人身份信息和个人通信信息，对于网络时代隐私权已扩大到新领域却鲜有问津。再次，网络隐私权救济途径与效果欠佳。现有的网络隐私权立法除诉讼救济途径外，缺乏其他救济途径，比如仲裁、行政救济和调解等。另外，即便是诉讼途径又面临取证难和诉讼难的困境，由于大数据应用非常广泛，一些隐私受到损害的个人很难及时发现网络服务提供者的违法行为，也很难在第一时间获取证据，而网络服务提供者常常以大数据的搜集整理和发布是非特定性的为由，拒绝承担法律责任。[7]

四、大数据时代隐私权保护的法治建设

（一）构建全方位的隐私权保护法律制度体系

首先，《宪法》应明确隐私权是公民的基本权利。《宪法》应明确隐私权是公民的一项独立权利，明确网络隐私权是传统隐私权在互联网上的延伸，属于隐私权保护的范畴，应对隐私权包括网络隐私权的范围进行界定，从而为《民法典》和专门立法保护隐私权提供上位法的依据。[8]其次，《民法典》对隐私权及其保护作原则性规定。个人信息保护属于民法范畴，民法作为规范人身权和财产权的基本法，是民事领域的根本大法。所以，建议我国在出台《民法典》时，一是明确隐私权的概念和范围，以列举的方式规定侵权的行为种类，明确侵权责任的归责原则及承担方式、侵权的救济手段和程序。二是确立个人信息使用的基本原则，包括保护公民个人隐私的原则、知情和同意原则以及禁止信息非法使用原则。再次，制定个人信息保护法，重点保护个人信息数据。目前，世界上已有20多个发达国家通过一般立法、特别立法和行业自律等多种立法模式，规范个人信息数据的管理和使用。美国和欧盟更是先行一步，对个人信息数据的保护力度都很大、效果颇佳。所以，我们可借他山之石，在个人信息保护法中，明确规定自然人享有的个人信息权，包括查阅权、更正权、删除权、封存权和收益权，明确个人信息权的行使不得损害他人利益，否则要承担相应的民事责任。

（二）尽快出台《民法典》，明确并完善对隐私权的立法保护

十八届四中全会提出：实现公民权利保障法治化，编纂民法典，依法保障公民的人身权和财产权，出台《民法典》是大势所趋，势在必行。笔者认为新制定的《中华人民共和国民法典》应体现大数据时代隐私权保护的特点，主要内容有：首先，隐私权是自然人享有的一项兼具财产权属性的人格权。严格讲，隐私权仍属于人格权范畴，但在大数据时代，隐私权又具有财产权的属性。因为在大数据时代，大数据不仅仅是简单的数据，它还隐含着巨大的科研、社会和经济价值，其已经成为继人力资源和自然资源之后的一种重要战略资源，对它进行有效的挖掘和使用，能获得新知识并创造财富。其次，扩大对隐私权的保护范围。在大数据时代，隐私权的保护范围不仅包括私人空间和私人活动，还应包括私人网络信息，所以，这种保护范围也从现实空间延伸到虚拟空间的互联网上并有所拓展，比如数据权（Right to Data）。数据权是原始数据发布者个人对数据的权利，包括有权查阅、选择、删除、使用和收益，即“我的数据，我可以做主！”这是大数据时代每一个公民都拥有的基本权利，是为解决数据开发利用和隐私权保护冲突的一项创新探索，应将其纳入隐私权的保护范围。[9]再次，对侵犯隐私权的行为应采取法学界一向主张的列举方式，明确规定窃取和窃听他人隐私的行为属于违法，披露或使用他人个人信息（未经本人同意）的行为也属于违法。另外，可在兼收并蓄国外隐私权立法成果的基础上制定并完善我国的《民法典》。

（三）制定《网络隐私权保护法》，加强对数据隐私的保护

首先，确立网络隐私权保护的理念和原则。基本理念有两个：一是在明示存储于政府、网络运营商和商业组织“数据库”中的个人数据属于个人隐私范畴前提下，协调好国家安全与网络隐私权保护的关系；二是既对互联网进行有效的监管，又不制约网络业的快速发展。基本原则有四：一是自愿原则，即公民有权依法自主决定个人信息的发布、使用、删除和收益，他人无权干涉；二是无害原则，即任何人不应利用互联网和信息技术直接或间接伤害他人；三是知情同意原则，即信息搜集者在征得信息主体知晓并同意的前提下才能搜集其信息；四是禁止非法使用原则，即互联网络服务提供者不得违法获取、传播、出售和使用公民个人电子信息。其次，明确网络隐私权的概念。一是要界定网络隐私权的概念和范围，规定侵权的方式、行为种类以及归责原则和救济手段。二是要明确规定网络隐私权主体的权利和义务。权利主体对其个人信息和数据资料享有知悉权、修改权、删除权、使用权和收益权，同时要承担法律规定的个人信息收集、使用和披露应尽的义务。三是要明确网络隐私权的立法保护模式与法律责任。通过法律的具体规定规范网络服务提供商网上搜集用户数据和隐私的行为，通过司法和行政救济途径保护网上用户的个人隐私。[10]另外，对于互联网络服务提供者违反法律规定的行为，明确应承担相应的行政责任、民事责任和刑事责任，从而使保护“裸奔”的个人隐私成为现实。再次，制定《网络隐私权保护法》应与国际协作。目前，美国和欧盟在网络隐私权保护方面的理念和原则值得我们借鉴，特别是它们在保护网络隐私权方面已进行了双边或多边协作，并取得了一定成效。所以，我们制定《网络隐私权保护法》应体现国际间的协调与合作精神，加入双边或多边协作法律框架之中，实现国内用户的个人信息和隐私不仅受到国内法律保护，还将受到其他国家的法律保护。

参考文献：

[1]理查德·斯皮内洛.世纪道德——信息技术的伦理方面[M].刘钢，译.北京：中央编译出版社，1999：44.

[2]郑军.大数据时代的隐私权保护[J].电子技术论坛，2014（3）.

[3]高峰.“大数据”时代下的公民隐私权保护[J].信息化建设，2014（3）.

[4]苑雪.大数据时代的隐私权保护[J].山东农业工程学院学报，2014（3）.

[5]中国网民权益保护调查报告（2015）[R].北京：中国互联网协会12321网络不良与垃圾信息举报受理中心，2015：12.

[6]法制网-法制日报.大数据时代，人的隐私在哪里[EB/OL].http：//www.legaldaily.com.cn/fxjy/content/2015-04/07/content_6032069.htm.

[7]法制网-法制日报.大数据时代，人的隐私在哪里[EB/OL].http：//www.legaldaily.com.cn/fxjy/content/2015-04/07/content_6032069.htm.

[8]陈开来.浅析网络时代网络隐私权的法律保护[J].黔南民族师范学院学报，2013（4）.

[9]苑雪.大数据时代的隐私权保护[J].山东农业工程学院学报，2014（3）.

[10]陈开来.浅析网络时代网络隐私权的法律保护[J].黔南民族师范学院学报，2013（4）.